Podmioty objęte zakresem Dyrektywy NIS 2, podobnie jak w przypadku RODO, muszą wdrożyć odpowiednie i proporcjonalne środki techniczne i organizacyjne, aby zarządzać ryzykami, na które narażone są ich sieci i systemy używane do świadczenia usług. Szczegółowe regulacje dotyczące tych obowiązków zostaną określone przez prawo krajowe. Dyrektywa NIS 2 ustanawia minimalne wymagania dotyczące środków, które muszą być wdrożone przez każdą jednostkę objętą zakresem dyrektywy, aby zredukować ryzyko wystąpienia incydentów bezpieczeństwa. Obowiązki te są precyzyjnie określone w artykule 18 oraz motywach i wskaźnikach realizacji celów dyrektywy:

1. Dynamiczna analiza ryzyka
   • Analiza ryzyka musi być dynamiczna, czyli zmieniać się zgodnie z otaczającymi warunkami technicznymi, prawnymi oraz zagrożeniami. Powinna bazować na danych z CTI oraz działów compliance lub prawnego.
2. Polityka bezpieczeństwa systemów teleinformatycznych
   • Należy opracować i wdrożyć w organizacji System Zarządzania Bezpieczeństwem Informacji (SZBI) oparty na normie ISO 27001.
3. Obsługa incydentów
   • Organizacja musi mieć wdrożony proces zarządzania incydentami, który jest integralną częścią ładu korporacyjnego, np. w ramach SZBI.
4. Raportowanie incydentów
   • Podmioty są zobowiązane do zgłaszania incydentów do krajowego CSIRT lub innego właściwego organu. Procedury raportowania powinny obejmować zarówno faktyczne incydenty, jak i potencjalne zagrożenia.
5. Bezpieczeństwo łańcucha dostaw
   • Należy wdrożyć polityki i procedury dotyczące bezpieczeństwa w relacjach z dostawcami i usługodawcami.
6. Plan ciągłości działania i zarządzania kryzysowego
   • Organizacja powinna posiadać plany ciągłości działania (BCP), aby móc przywrócić produkcję, procesy biznesowe, systemy informatyczne lub specjalistyczne usługi. Można to osiągnąć poprzez wdrożenie Systemu Zarządzania Ciągłością Działania.
7. Polityki i procedury IT
   • Opracowanie i wdrożenie polityk i procedur dotyczących nabywania, rozwoju i utrzymania sieci i systemów informatycznych oraz testowania i audytów zabezpieczeń, aby ocenić skuteczność zarządzania ryzykiem w cyberprzestrzeni. Mogą one być częścią SZBI zgodnego z ISO 27001.
8. Korzystanie z kryptografii
   • Polityki i procedury określające stopień wykorzystania kryptografii i szyfrowania, odpowiednio do poziomu ryzyka. Powinno to być powiązane z analizą ryzyka i zasadami klasyfikacji informacji.
9. Szkolenia z zakresu cyberbezpieczeństwa
   • Zapewnienie szkoleń z zakresu cyberbezpieczeństwa dla kadry menadżerskiej oraz pracowników, w zależności od ich roli w systemach teleinformatycznych.